A empresa israelense CTS Labs publicou uma pesquisa detalhando 13 supostas vulnerabilidades em processadores AMD da linha Ryzen, inclusive os processadores empresariais EPYC. As revelações causaram polêmica, porque a CTS Labs deu apenas 24 horas de aviso antecipado para a AMD e não divulgou detalhes técnicos sólidos sobre os supostos problemas.

Especialistas também discordam sobre a utilidade prática das vulnerabilidades descobertas. A CTS Labs informou que só é possível tirar proveito das falhas depois que o invasor já obteve acesso administrativo ao computador. Em outras palavras, só hackers que já obtiveram controle total do sistema atacado poderiam explorar essas falhas.

O prazo de 24 horas dado à AMD contrasta com os quase seis meses de prazo dado pelo Google à Intel, AMD e outras empresas sobre as falhas Metltdown e Spectre, que também atingiram processadores.

O relatório da CTS Labs é acompanhado de um aviso legal incomum, afirmando que o texto “é opinião, não fato” e que a CTS Labs pode deter interesse financeiro nas empresas envolvidas no relatório.

O relatório técnico foi publicado pouco antes de uma análise financeira da Viceroy Research, um instituto anônimo que afirmou que, por causas das falhas, o vator das ações da AMD deve cair a "0,00". A Viceroy Research é focada em "short selling" ou "venda a descoberto" -- investimento em que alguém lucra quando um determinado ativo cai de valor ao invés de subir.

Essa sequência de fatos dá a entender que a CTS Labs e a Viceroy Research então tentando provocar uma queda no valor das ações da AMD para lucrar. Até o momento, isso não ocorreu.

Além da AMD, o relatório, que tem tom acusatório, faz duras críticas à ASUSTek Computer, dona da fabricante dos chips usados em placas-mãe da AMD, a ASMedia.

É raro que a divulgação de falhas de segurança seja atrelada a uma iniciativa de investimento com venda a descoberto. O único outro caso que se tem registro envolveu a Muddy Waters e a MedSec, que também divulgaram relatórios polêmicos sobre falhas em marca-passos.

SAIBA MAIS
Empresa lucra com alegação de falha em marca-passo e é processada

QUATRO CATEGORIAS

As brechas encontradas pela CTS Labs foram inseridas em quatro categorias:

Ryzenfall: Essa brecha permite rodar códigos maliciosos no coprocessador de segurança da linha Ryzen. Ela poderia permitir a quebra de funções de segurança que normalmente deveriam ser confiáveis mesmo em casos de invasão do sistema operacional.

Fallout: Permite a leitura de áreas de memória protegidas.

Chimera: Falhas nos chips auxiliares (chipset) das placas-mãe de processadores AMD. A CTS Labs considera que essas falhas são "backdoors" -- ou seja, é um tipo de canal secreto de administração deixada pela fabricante dos chips, a ASMedia.

Masterkey: Permite alterar o código executado no coprocessador de segurança dos sistemas AMD. Caso a brecha seja como a CTS Labs afirma, o coprocessador poderia ser modificado para rodar códigos definidos pelo invasor, permitindo a criação de vírus que persistem mesmo após a reinstalação do sistema operacional e que ficam embutidos diretamente no processador.

A AMD ainda está investigando as falhas, então ainda não existe qualquer atualização ou orientação para se proteger dessas vulnerabilidades. Porém, como as falhas exigem direitos administrativos para serem exploradas, não há muita razão para que clientes da AMD entrem em pânico.

Em um comunicado de "esclarecimento" sobre a polêmica causada, a CTS Labs criticou a atual norma de "divulgação responsável" de falhas de segurança, que normalmente dá um prazo flexível de no mínimo 90 dias para que um fabricante prepare correções sobre a falha e comunique os consumidores.

Segundo a nota da CTS Labs, a maioria dos fabricantes não informa seus consumidores de maneira adequada nesse período. A companhia afirma que avisar o público diretamente -- mesmo que isso deixe alguns consumidores em risco -- é a saída mais favorável para os consumidores.

A empresa, que foi fundada em meados de 2017, também afirma que as brechas encontradas são tão evidentes que é improvável que eles sejam a terem realizado a descoberta.

CÓDIGOS RESTRITOS

Os códigos capazes de explorar as falhas alegadas foram distribuídos para alguns especialistas, que vêm defendendo a solidez da pesquisa em entrevistas para a imprensa.

Divulgar brechas sem divulgar o chamado código prova de conceito -- uma amostra de como a falha pode ser explorada -- é uma prática rara. O normal é que toda divulgação de falha seja acompanhada dessa prova de conceito e, preferencialmente, que o fabricante já tenha criado uma solução para o problema durante o prazo de aviso antecipado.

Dessa forma, a existência da prova de conceito não coloca em risco os consumidores que já adotaram medidas preventivas para se proteger da vulnerabilidade.

Como a CTS Labs não deu prazo para que a AMD investigasse e corrigisse as falhas e todas elas estão em aberto, o relatório omitiu detalhes técnicos específicos e as provas de conceito estão com distribuição restrita. Por esse motivo, a maioria dos especialistas não consegue avaliar a credibilidade da pesquisa.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]